Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD

Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD
Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD

Видео: Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD

Видео: Възстановяване на данни като експерт по съдебна медицина с помощта на Ubuntu Live CD
Видео: How To Boot Virtual Machine From USB Drive in VMWare Workstation Tutorial - YouTube 2024, Ноември
Anonim

Има много помощни програми за възстановяване на изтрити файлове, но какво, ако не можете да заредите компютъра си или цялото устройство е форматирано? Ще ви покажем някои инструменти, които ще копаят дълбоко и ще възстановят най-неуловимите изтрити файлове или дори дялове на целия твърд диск.

Ние ви показахме лесни начини да възстановите случайно изтритите файлове, дори и един прост метод, който може да бъде направен от Ubuntu Live CD, но за твърди дискове, които са силно повредени, тези методи няма да го скъсат. В тази статия ще разгледаме четири инструмента, които могат да възстановят данни от най-обърканите твърди дискове, независимо дали са форматирани за Windows, Linux или Mac, или дори ако таблицата на дяловете е напълно изтрита.

Забележка: Тези инструменти не могат да възстановят данни, които са били презаписани на твърд диск. Дали изтритият файл е презаписван зависи от много фактори - колкото по-бързо осъзнавате, че искате да възстановите файл, толкова по-вероятно ще бъдете в състояние да го направите.

Нашата настройка

За да покажем тези инструменти, сме настроили малък твърд диск от 1 GB, като половината от пространството е разделено на ext2, файлова система, използвана в Linux, и половината от пространството е разделено на FAT32 - файлова система, използвана в по-стари системи на Windows. Съхраняхме десет произволни картини на всеки твърд диск.

След това изтрихме таблицата на дяловете от твърдия диск, като изтрихме дяловете в GParted.
След това изтрихме таблицата на дяловете от твърдия диск, като изтрихме дяловете в GParted.
Дали данните ни се губят завинаги?
Дали данните ни се губят завинаги?

Инсталиране на инструментите

Всички инструменти, които ще използваме, са в Ubuntu вселена хранилище.

За да активирате хранилището, отворете Synaptic Package Manager, като кликнете върху Система в горния ляв ъгъл и след това върху Администриране> Synaptic Package Manager.

Кликнете върху Настройки> хранилища и добавете чек в полето с надпис "Софтуер с отворен код поддържан от общността (вселена)".

Image
Image

Кликнете върху Затваряне и след това в главния прозорец Synaptic Package Manager, щракнете върху бутона Reload. След като пакетът отново се зареди и индексът за търсене се възстанови, потърсете и маркирайте за инсталиране един или всички от следните пакети: TestDisk, най-важен, и скалпел.

TestDisk включва TestDisk, който може да възстанови изгубените дялове и сектора за ремонт на зареждане и PhotoRec, който може да възстанови много различни типове файлове от тонове различни файлови системи.

Image
Image

най-важен, първоначално разработена от Службата за специални разследвания на ВВС на САЩ, възстановява досиета въз основа на техните заглавия и други вътрешни структури. Най-напред работи на твърди дискове или дискови изображения, генерирани от различни инструменти.

Image
Image

На последно място, скалпел изпълнява едни и същи функции като преди всичко, но се фокусира върху подобрена производителност и по-ниска употреба на паметта. Скалпел може да работи по-добре, ако имате по-стара машина с по-малко RAM.

Image
Image

Възстановете дяловете на твърдия диск

Ако не можете да монтирате твърдия диск, то неговата таблица с дялове може да е повредена. Преди да започнете да се опитвате да възстановите важните си файлове, възможно е да възстановите един или повече дялове на устройството си, като възстановите всичките си файлове с една стъпка.

TestDisk е инструментът за работата. Стартирайте го, като отворите терминал (Приложения> Аксесоари> Терминал) и въведете:

sudo testdisk
Ако искате, можете да създадете лог файл, въпреки че няма да се отрази на колко данни ще възстановите. След като направите своя избор, ще бъдете посрещнати със списък на носителите за съхранение на вашата машина. Трябва да сте в състояние да идентифицирате твърдия диск, който искате да възстановите дялове от неговия размер и етикет.
Ако искате, можете да създадете лог файл, въпреки че няма да се отрази на колко данни ще възстановите. След като направите своя избор, ще бъдете посрещнати със списък на носителите за съхранение на вашата машина. Трябва да сте в състояние да идентифицирате твърдия диск, който искате да възстановите дялове от неговия размер и етикет.
TestDisk ви кани да изберете типа таблица на дяловете, която да търсите. В повечето случаи (ext2 / 3, NTFS, FAT32 и т.н.) трябва да изберете Intel и да натиснете Enter.
TestDisk ви кани да изберете типа таблица на дяловете, която да търсите. В повечето случаи (ext2 / 3, NTFS, FAT32 и т.н.) трябва да изберете Intel и да натиснете Enter.
Маркирайте Анализирай и натиснете enter.
Маркирайте Анализирай и натиснете enter.
В нашия случай нашият малък твърд диск е бил форматиран като NTFS. Изненадващо, TestDisk намира този дял, въпреки че не е в състояние да го възстанови.
В нашия случай нашият малък твърд диск е бил форматиран като NTFS. Изненадващо, TestDisk намира този дял, въпреки че не е в състояние да го възстанови.
Също така намира и двата дяла, които току-що сме изтрили. Можем да променим техните атрибути или да добавим повече дялове, но ще ги възстановим само с натискане на Enter.
Също така намира и двата дяла, които току-що сме изтрили. Можем да променим техните атрибути или да добавим повече дялове, но ще ги възстановим само с натискане на Enter.
Ако TestDisk не е намерил всичките ви дялове, можете да опитате да направите по-задълбочено търсене, като изберете тази опция с лявата и дясната стрелка. Имахме само тези две дялове, така че ще ги възстановим, като изберете "Напиши" и натиснете "Enter".
Ако TestDisk не е намерил всичките ви дялове, можете да опитате да направите по-задълбочено търсене, като изберете тази опция с лявата и дясната стрелка. Имахме само тези две дялове, така че ще ги възстановим, като изберете "Напиши" и натиснете "Enter".
Testdisk ни информира, че ще трябва да рестартираме.
Testdisk ни информира, че ще трябва да рестартираме.
Image
Image

Забележка: Ако вашият Ubuntu Live CD не е постоянен, тогава при рестартиране ще трябва да преинсталирате всички инструменти, които сте инсталирали по-рано.

След като рестартираме, и двата ни дяла се връщат към първоначалните си състояния, картини и всичко останало.

Image
Image

Възстановяване на файлове от определени типове

За следващите примери сме изтрили 10 снимки от двата дяла и ги преформатирахме.

PhotoRec

От трите инструмента, които ще покажем, PhotoRec е най-лесният за използване, въпреки че е конзолна базирана помощна програма. За да започнете да възстановявате файлове, отворете терминал (Приложения> Аксесоари> Терминал) и въведете:

sudo photorec

За да започнете, ще бъдете помолени да изберете устройство за съхранение, което да търсите. Трябва да сте в състояние да определите правилното устройство по неговия размер и етикет. Изберете правилното устройство и натиснете Enter.

PhotoRec ви моли да изберете типа дял, който да търсите. В повечето случаи (ext2 / 3, NTFS, FAT и т.н.) трябва да изберете Intel и да натиснете Enter.
PhotoRec ви моли да изберете типа дял, който да търсите. В повечето случаи (ext2 / 3, NTFS, FAT и т.н.) трябва да изберете Intel и да натиснете Enter.
Получавате списък с дяловете на избрания от вас твърд диск.Ако искате да възстановите всички файлове в дял, изберете Търсене и натиснете Enter.
Получавате списък с дяловете на избрания от вас твърд диск.Ако искате да възстановите всички файлове в дял, изберете Търсене и натиснете Enter.

Този процес обаче може да бъде много бавен и в нашия случай искаме само да търсим файлове с картини, така че вместо това да използваме клавиша със стрелка надясно, за да изберете File Opt и натиснете Enter.

PhotoRec може да възстанови много различни типове файлове, а премахването на всяка от тях ще отнеме много време. Вместо това натиснете "s", за да изчистите всички селекции и след това намерете подходящите типове файлове - jpg, gif и png - и ги изберете, като натиснете клавиша със стрелка надясно.
PhotoRec може да възстанови много различни типове файлове, а премахването на всяка от тях ще отнеме много време. Вместо това натиснете "s", за да изчистите всички селекции и след това намерете подходящите типове файлове - jpg, gif и png - и ги изберете, като натиснете клавиша със стрелка надясно.
След като сме избрали тези три, натиснете "b", за да запазите тези селекции.
След като сме избрали тези три, натиснете "b", за да запазите тези селекции.
Натиснете enter, за да се върнете към списъка с дялове на твърдия диск. Искаме да търсим и двете ни дялове, така че да откроим "Няма дял" и "Търсене" и след това да натиснете Enter.
Натиснете enter, за да се върнете към списъка с дялове на твърдия диск. Искаме да търсим и двете ни дялове, така че да откроим "Няма дял" и "Търсене" и след това да натиснете Enter.
PhotoRec подканя за място за съхранение на възстановените файлове. Ако имате различен здрав твърд диск, препоръчваме ви да съхранявате възстановените файлове там. Тъй като не се възстановяваме много, ще го съхраняваме на работния плот на Ubuntu Live CD.
PhotoRec подканя за място за съхранение на възстановените файлове. Ако имате различен здрав твърд диск, препоръчваме ви да съхранявате възстановените файлове там. Тъй като не се възстановяваме много, ще го съхраняваме на работния плот на Ubuntu Live CD.

Забележка: Не възстановявайте файлове на твърдия диск, от който се възстановявате.

PhotoRec е в състояние да възстанови 20 снимки от дяловете на нашия твърд диск!
PhotoRec е в състояние да възстанови 20 снимки от дяловете на нашия твърд диск!
Един бърз поглед в директорията recup dir.1, която създава, потвърждава, че PhotoRec е възстановил всички наши снимки, освен за имената на файловете.
Един бърз поглед в директорията recup dir.1, която създава, потвърждава, че PhotoRec е възстановил всички наши снимки, освен за имената на файловете.
Image
Image

най-важен

Най-напред е програма за команден ред без интерактивен интерфейс като PhotoRec, но предлага няколко опции от командния ред, за да получите възможно най-много данни от вашето устройство.

За пълен списък на опциите, които могат да бъдат променени чрез командния ред, отворете терминал (Приложения> Аксесоари> Терминал) и въведете:

foremost –h

В нашия случай опциите на командния ред, които ще използваме, са:

  • -t, разделен със запетая списък на типовете файлове, които да търсите. В нашия случай това е "jpeg, png, gif".
  • -v, което дава възможност за подробен режим, като ни дава повече информация за това, което прави всичко.
  • -о, изходната папка за съхранение на възстановените файлове. В нашия случай ние създадохме директория, наречена "foremost" на работния плот.
  • -i, входът, който ще бъде търсен за файлове. Това може да бъде дисково изображение в няколко различни формата; обаче, ще използваме твърд диск, / dev / sda.

Нашето предимство е:

sudo foremost –t jpeg,png,gif –o foremost –v –i /dev/sda

Показването ви ще се различава в зависимост от това, което търсите и къде го търсите.

Най-напред е в състояние да възстанови 17 от 20-те файла, съхранявани на твърдия диск.
Най-напред е в състояние да възстанови 17 от 20-те файла, съхранявани на твърдия диск.
При разглеждането на файловете можем да потвърдим, че тези файлове бяха възстановени сравнително добре, въпреки че можем да видим някои грешки в миниизображението за 00622449.jpg.
При разглеждането на файловете можем да потвърдим, че тези файлове бяха възстановени сравнително добре, въпреки че можем да видим някои грешки в миниизображението за 00622449.jpg.
Част от това може да се дължи на ext2 файловата система. Най-напред препоръчва да се използва опцията -d от командния ред за Linux файлови системи като ext2.
Част от това може да се дължи на ext2 файловата система. Най-напред препоръчва да се използва опцията -d от командния ред за Linux файлови системи като ext2.

Ще започнем отново отново, като добавим опцията -d от командния ред към най-голямото ни позоваване:

sudo foremost –t jpeg,png,gif –d –o foremost –v –i /dev/sda
Този път най-вече може да възстанови всичките 20 изображения!
Този път най-вече може да възстанови всичките 20 изображения!
Последният поглед към снимките показва, че снимките са били възстановени без никакви проблеми.
Последният поглед към снимките показва, че снимките са били възстановени без никакви проблеми.
Image
Image

скалпел

Скалпелът е друга мощна програма, която, подобно на Foremost, е силно конфигурируема. За разлика от Foremost, Scalpel изисква да редактирате конфигурационен файл, преди да опитате възстановяване на данни.

Всеки текстов редактор ще направи, но ще използваме gedit, за да променим конфигурационния файл. В терминален прозорец (Приложения> Аксесоари> Терминал) въведете:

sudo gedit /etc/scalpel/scalpel.conf
scalpel.conf съдържа информация за различни типове файлове. Превъртете през този файл и отменете линиите, които започват с типа файл, който искате да възстановите (т.е. премахнете символа "#" в началото на тези редове).
scalpel.conf съдържа информация за различни типове файлове. Превъртете през този файл и отменете линиите, които започват с типа файл, който искате да възстановите (т.е. премахнете символа "#" в началото на тези редове).
Запишете файла и го затворете. Върнете се в прозореца на терминала.
Запишете файла и го затворете. Върнете се в прозореца на терминала.

Скалпелът също има тон от опции за команден ред, които могат да ви помогнат да търсите бързо и ефективно; обаче, ще определим входното устройство (/ dev / sda) и изходната папка (папка, наречена "скалпел", която създадохме на работния плот).

Нашето позоваване е:

sudo scalpel /dev/sda –o scalpel
Scalpel е в състояние да възстанови 18 от нашите 20 файла.
Scalpel е в състояние да възстанови 18 от нашите 20 файла.
Бързият преглед на възстановения скалпел на файлове показва, че повечето от файловете ни са успешно възстановени, въпреки че имаше някои проблеми (например 00000012.jpg).
Бързият преглед на възстановения скалпел на файлове показва, че повечето от файловете ни са успешно възстановени, въпреки че имаше някои проблеми (например 00000012.jpg).
Image
Image

заключение

В нашия бърз пример за игра, TestDisk успя да възстанови два изтрити дяла, а PhotoRec и Foremost успяха да възстановят всичките 20 изтрити изображения. Скалпелът е възстановил повечето от файловете, но е много вероятно играенето с опциите на командния ред за скалпел да ни позволи да възстановим всичките 20 изображения.

Тези инструменти са животоспасяващи, когато нещо се обърка с вашия твърд диск. Ако данните ви са някъде на твърдия диск, тогава един от тези инструменти ще го проследите!

Препоръчано:

Липсващи файловете на кеша на Windows Installer: Възстановяване, поправка, възстановяване, възстановяване

Липсващи файловете на кеша на Windows Installer: Възстановяване, поправка, възстановяване, възстановяване

Пакетът за потвърждаване на кеша на Windows Installer Cache ще отстрани липсващите файлове за кеш на Windows Installer. Може да се наложи да възстановите операционната система и да преинсталирате приложенията.

Най - добрите безплатни компютърни инструменти за съдебна медицина

Най - добрите безплатни компютърни инструменти за съдебна медицина

Ето списък на някои безплатни инструменти и софтуер за компютърни криминалисти, които можете да използвате, за да изследвате за следи от данни от счупени компютри за различни цели.

Двоен инструмент за възстановяване на Boot: Възстановяване на данни за конфигуриране на Boot Boot

Двоен инструмент за възстановяване на Boot: Възстановяване на данни за конфигуриране на Boot Boot

Инструментът за ремонт на Boot ще ремонтира BCD, ще установи проблеми с двойно зареждане или няколко зареждания в Windows и ще ви помогне да възстановите системата си, като фиксирате Boot Manager / Loader на BIOS / UEFI фърмуера на Windows 8.1 / 7 / Server.

CD / DVD софтуер за възстановяване на данни за възстановяване на данни от CD DVD

CD / DVD софтуер за възстановяване на данни за възстановяване на данни от CD DVD

Търсенето на CD DVD Recovery Freeware? Тази статия изброява топ 3 CD, DVD софтуер за възстановяване на данни IsoBuster, CDCheck, CD Recovery Toolbox за Windows 10/8/7.

Софтуер за възстановяване на данни: Възстановяване на изтрити файлове и папки

Софтуер за възстановяване на данни: Възстановяване на изтрити файлове и папки

Искате ли да възстановите изтритите файлове, папки и данни в Windows 10/8/7? Вижте този списък с безплатен софтуер за възстановяване на данни, който да ви помогне да възстановите файловете.